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ORIGINAL 



La presente invention concerne un dispositif de gestion 
d'entrees/sorties redondant, notamment un systeme de routage informatique. 
Elle s'applique en particulier pour le traitement des informations de gestion 
5 de trafic aerien. Pius generalement, elle s'applique pour tous systemes de 
gestion d'entrees et sorties de donnees numeriques necessitant une grande 
surete de fonctionnement sans surcout excessif. 

La densite de trafic aerien a atteint un niveau tres important. Par 

10 ailleurs, les exigences de securite aeriennes sont toujours de plus en plus 
accrues. Une consequence de cette situation est que la gestion du trafic 
aerien doit traiter un grand nombre d'informations, destinees notamment aux 
controleurs aeriens et aux pilotes d'avions. Ces informations sont en 
particulier relatives a une large categorie de donnees radar, a des situations 

15 meteorologiques, a des plans de vol ou encore a des donnees de type ILS 
concernant les systemes d'atterrissage. 

Le traitement de ces informations ne peut se faire que par des 
moyens informatiques puissants. Parmi ces moyens, un role essentiel est 
joue par les moyens d'interfacage des differents centres d'informations ou de 

20 decisions. Ces moyens d'interfacage ont notamment une fonction de routage 
des informations, ils ont done notamment une fonction d'aiguillage des 
donnees vers les bons centres de destination. Etant donnes les flots tres 
importants de donnees en jeu, ces moyens ont un role essentiel pour le bon 
fonctionnement global d'un systeme de gestion du trafic aerien. Les donnees 

25 traitees sont notamment les donnees radar et autres donnees relatives a la 
situation de vol des avions, telles que par exemple des plans de vol ou 
informations meteorologiques. 

II existe des materiels connus et notamment disponibles dans le 
commerce, equipes de leurs systemes Sexploitation, qui permettent de 

30 repondre a ces besoins de routage. A titre d'exemple, on peut citer une 
gamme de produits connus par la marque deposee LINES issue de 
I'expression anglo-saxonne « Link Interface Node for External Systems ». 
Ces produits, de type modulaire, sont concus pour permettre le routage et le 
traitement de messages d'entrees/sorties parmi des lignes series entrantes 

35 ou sortantes et Ethernet. Les lignes serie standards telles que par exemple 



2 



X25, HDLC ou BSC sont traitees aussi bien que des lignes dediees, telles 
que par exemple des protocoles de transmissions d'informations radar 
particuliers. 

Ces routeurs peuvent fonctionner avec une architecture logicielle 

5 de type a processeur frontal, lis sont equipes d'un logiciel de type FPBSS. ce 
dernier terme etant issu de Texpression anglo-saxonne « Front Processor 
Basic System Software ». Dans ce mode de realisation, le routeur est relie a 
un seul programme d'application. II n'a qu'une fonction amont, par exemple 
I'aiguillage des donnees vers la bonne destination. Tout le coeur de 

10 I'applicatif est dans un ou plusieurs calculateurs centraux. En d'autres 
termes, il faut autant de routeurs que d'applicatifs. 

Une utilisation plus performante de ces routeurs peut se faire 
selon un mode de communication ouvert, dit encore OCP selon I'expression 
anglo-saxonne « Open Communication Processor ». Dans ce mode, un 

15 routeur est relie a plusieurs applications et fonctionne sensiblement comme 
un serveur de donnees. II permet notamment d'aiguiller et de traiter les 
donnees depuis n'importe quel point d'entree vers n'importe quel point de 
sortie. Ce mode de fonctionnement est particulierement bien adapte a la 
gestion du trafic aerien. Dans une application de gestion du controle aerien, 

20 ce mode permet en effet notamment les fonctionnalites suivantes, c'est-a- 
dire : 



- une distribution du type boite noire des donnees radar vers les 
centres, les donnees radar etant regues par des interfaces 
series et transmises via un reseau local, par exemple Ethernet, 
vers un groupe de machines identifiees, diffusion encore 
appelee UDP multicast dans la litterature anglo-saxonne ; 

- une conversion autonome de messages ou protocoles, 
permettant notamment la conversion de format de message ou 
protocols specifiques, ainsi par exemple ISR2 en ASTERIX, 
X25en HDLC-UI... ; 

- une fonction de controle de ligne dans les systemes radar, 
c'est-a-dire la transmission de donnees radar par des lignes 
series vers les circuits de traitement. 
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Dans une application de type gestion de trafic aerien, la surete de 
fonctionnement des systemes informatiques, et done des systemes de 
routages est de toute premiere importance, puisque la securite des 
passagers est en effet en jeu. A titre d'exemple, les normes de securite en 

5 vigueur imposent que la couverture aerienne d'un centre de contr6le de trafic 
aerien ne doit pas etre interrompue plus de quelques secondes par an. II est 
done necessaire de recourir a des techniques de redondance, e'est-a-dire en 
particulier dupliquer les equipements afin que Tun d'eux puisse se substituer 
a I'autre en cas de defaillance. En regie general, chaque routeur est 

10 duplique. Un probleme a resoudre est le passage d'un routeur a un autre, 
lorsque le premier est defaillant. Une solution connue consiste a prevoir un 
routeur actif, appele maitre, et un routeur inactif, appele esclave, avec un 
systeme tiers qui arbitre le passage de I'execution du maitre a I'esclave. 
Cette solution n'est pas economique en raison notamment de I'utilisation d'un 

1 5 systeme tiers, qui s'ajoute au routeur redondant. 

Pour rendre le systeme economique, il est possible de supprimer 
I'arbitre. On prevoit alors un protocole d'echanges entre le maitre et 
I'esclave. En particulier, lorsque le maitre devient defaillant, I'esclave ne 
recoit plus de messages. L'esclave prend alors le relais. Cependant, il y a 

20 des modes degrades, notamment ou le maitre degrade les donnees traitees 
sans qu'il le sache. Le maitre ne sachant pas qu'il est defaillant ne desactive 
pas ses entrees/sorties. L'esclave de son cote sait que le maitre est 
defaillant mais n'est alors pas en mesure de prendre correctement le controle 
du routage, du fait notamment que le maitre n'a pas desactive ses ports 

25 d'entrees/sorties. Le systeme continue de fonctionner en mode degrade. II en 
resulte une degradation inquietante de la surete de fonctionnement. 

Un but de I'invention est de reduire les couts lies a la surete de 
fonctionnement, en supprimant I'utilisation d'un systeme d'arbitrage tiers, et 

30 cela sans degrader la surete de fonctionnement quels que soient les types 
de ports d'entrees/sortie. A cet effet, I'invention a pour objet un dispositif de 
gestion d'entrees et de sorties de donnees numeriques, caracterise en ce 
qu'il comporte des premiers moyens de gestion et des deuxiemes moyens de 
gestion relies I'un a I'autre par deux interfaces, un reseau et une ligne de 

35 securite, ces moyens echangeant mutuellement des messages 
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d' interrogations par ces deux interfaces, des moyens etant consideres 
comme defaillants par les autres moyens lorsqu'ils n'6mettent aucun 
message dans un intervalle de temps donne sur au moins une des deux 
interfaces. 

5 Les moyens de gestion d'entrees et de sorties peuvent etre des 

routeurs ou des serveurs de donnees. 

Au demarrage, les premiers moyens ont par exemple le role de 

maTtre et les seconds moyens le role d'esclave, le maTtre gerant les donnees 

d'entr6es et de sorties. Pour assurer une redondance, les moyens ont les 
10 memes fonctions et comportent les memes logiciels et meme fichiers de 

configuration. 

Lorsque des moyens sont detectes comme etant defaillants par 
les autres moyens, ces derniers desactivent par exemple les moyens 
defaillants. L'esclave peut alors prendre en charge la gestion des donnees a 

15 la place du maTtre. 

Avantageusement, les messages d'interrogation, la frequence 
d'envoi de ces messages, le temps limite entre deux messages sont 
implantes dans un fichier de configuration contenu dans chacun des moyens, 
plusieurs types de ces parametres etant stockes en fonction duplications 

20 donnees. Ainsi, les parametres propres a une application peuvent etre 
decharges dans une memoire vive lors de Tinitialisation du dispositif. 

L'invention a notamment pour principaux avantages qu'elle 
s'adapte a de nombreuses applications et qu'elle est simple a mettre en 
25 oeuvre. 

D'autres caracteristiques et avantages de l'invention apparaTtront 
a I'aide de la description qui suit faite en regard de dessins annexes qui 
represented : 

- la figure 1, un exemple de systeme de routage redondant dans 
30 le cas ou les ports d'entrees et de sorties sont du type serie ; 

- la figure 2, un exemple de routage redondant comportant un 
reseau cle communication, du type Ethernet, avec des postes 
clients. 



La figure 1 presente un exemple de systeme de routage 
redondant dans le cas ou les ports d'entrees/sorties sont du type serie. Le 
systeme comporte un'routeur 1 ayant la fonction de mattre et un routeur 2 
ayant la fonction d'esclave. Ces deux routeurs ont les memes fonctions et 
component notamment les memes logiciels et memes fichiers de 
configurations. Un meme port 3 de chaque routeur communique par une 
liaison serie avec un meme systeme 4, par exemple un modem. A cet effet, 
la liaison entre ce dernier et les deux routeurs se fait par un cable en y 5. Un 
bus de securite 6 relie les deux routeurs 1,2. 

Lorsque les deux routeurs 1 , 2 demarrent ensemble, le maltre 1 
active ses modes electriques sur ses ports d'entrees/sorties 3 tandis que 
I'esclave 2 laisse ses ports 3 inactives, c'est-a-dire a I'etat de haute 
impedance. Cela signifie que meme si les deux routeurs sont configures, 
seul le maitre 1 echange avec le modem 4. En cas de defaillance du maltre, 
deux cas peuvent notamment se produire : 

- le maTtre remet a zero ou « reset » en mettant ses ports 3 a 
I'etat de haute impedance et devient lui-meme esclave, dans le 
meme temps, I'esclave 2 devient mattre et ses ports sont 
electriquement actives, c'est la situation normale et simple a 
gerer ; 

- le mattre devient defaillant, mais ne « reset » pas, I'esclave sait 
qu'il devrait devenir mattre, mais le mattre actuel ne desactive 
pas ses ports, il n'y a done pas commutation d'un routeur a 
I'autre a cause d'un conflit potentiel entre les ports 3 des deux 
routeurs, c'est la situation la plus complexe a gerer. 

La deuxieme situation doit cependant etre reglee car elle affecte 
dangereusement la surete de fonctionnement. Dans ce mode de 
fonctionnement, le mattre peut en effet traiter ou router des donnees fausses. 
Pour traiter ce probleme, on prevoit notamment le bus de securite 6 connecte 
entre les deux routeurs et destine a lui envoyer une commande de « reset », 
c'est-a-dire une commande de deactivation de ses ports 3, cette commande 
etant envoyee par I'esclave. Ce dernier peut alors reprendre la main. 
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Le type d'architecture cle redondance illustre par la figure 1 est 
bien adapte lorsque les ports d'entrees/sorties en jeu sont des ports serie. II 
n'en est plus de meme lorsque le routeur echange par un reseau local, 
appele LAN dans la litterature anglo-saxonne selon I'expression « Local Area 
5 Network », par exemple Ethernet. 

» 

La figure 2 illustre un exemple de realisation d'un dispositif selon 
Tinvention. II s'agit d'un systeme de routage informatique comportant deux 
routeurs 1, 2, dont Tun est maTtre et I'autre esclave. Ces deux routeurs 

10 fonctionnent en mode ouvert OCP. Le dispositif etant redonde, les deux 
routeurs comportent alors les memes fonctions, et notamment les m§mes 
logiciels et memes fichiers de configuration. De meme, les entrees et sorties 
vers d'autres systemes sont redondees. 

Les deux routeurs sont par exemple relies par un reseau 23, par 

15 exemple Ethernet ou Internet, a un ou plusieurs systemes clients distants 21, 
22. lis sont par ailleurs relies a d'autres systemes, par exemple des modem, 
par des liaisons serie. Un cable en y 5 relie un meme port 3 de chaque 
routeur a un meme syteme, de fagon notamment a ce que ces deux ports 3 
puissent echanger avec ce systeme. Lorsque le maTtre est actif, son port 

20 serie est active alors que celui de I'esclave est inactive, en etant par exemple 
a I'etat de haute impedance. 

Les deux routeurs sont relies entre eux par le reseau 23, par 
exemple Ethernet ou internet, et par une ligne de securite 24, par exemple 
un bus. A titre d'exemple, on considere un reseau Ethernet 23. Au 

25 demarrage, ou a Initialisation du dispositif, un routeur 1 est maTtre et 
I'autre 2 est esclave. C'est le maTtre qui gere alors les donnees d'entrees et 
de sorties, done qui les route. En cours de fonctionnement, les deux 
routeurs 1 , 2 echangent mutuellement des messages d'interrogation, encore 
appeles « polling messages » dans la litterature anglo-saxonne. Ces 

30 messages d'interrogation sont par exemple echanges cycliquement, e'est-a- 
dire a intervalles de temps reguliers. lis sont echanges par le reseau 
Ethernet 23, par exemple par une diffusion du type UDP unicast. Des 
messages d'interrogation sont aussi echanges par la liaison de securite 24. 
Un dispositif selon Tinvention comporte done au moins deux interfaces 

35 d'echanges de messages d'interrogations, une interface reseau, par exemple 




Ethernet, et un bus de communication 24. Un message d' interrogation est 
envoye par I'esclave au maitre pour verifier que le maitre est en bon etat de 
fonctionner, pour verifier qu'il n'est pas defaillant. A cet effet, le maitre doit 
repondre a ce message. Tous types de messages d' interrogations peuvent 

5 etre utilises. Le plus simple est par exemple d'envoyer au maitre un message 
donne et verifier, que celui-ci le renvoie integralement. De son cote, le maitre 
envoie de son cote des messages d'interrogation a I'esclave pour verifier que 
celui-ci est aussi en etat de fonctionner. II y a done ainsi une supervision des 
deux materiels 1 , 2 sans I'aide d'un tiers equipement. 

10 Lorsque I'esclave 2 ne recoit pas au moins un message 

d'interrogation dans un intervalle de temps donne sur au moins une des deux 
interfaces, Ethernet 23 ou la liaison securite 24, son programme considere 
que le maitre est defaillant. L'esclave decide alors de devenir maitre. A cet 
effet, il active le mecanisme de commutation. Ce mecanisme de 

15 commutation peut avoir plusieurs composantes. II comporte un algorithme, 
implante par exemple a la fois dans le maitre et I'esclave, qui force le maitre 
a se remettre a zero, plus particulierement a se re-initialiser. Cet algorithme 
est programme par ailleurs de telle sorte que lors de cette re-initialisation, 
I'esclave prenne la main, done devienne actif dans le traitement des 

20 donnees, alors que le maitre reste inactif. Cet algorithme prevoit par ailleurs 
la deactivation des ports d'entrees/sorties du maitre et I'activation des ports 
d'entrees/sorties de I'esclave devenu maitre. Un poste de supervision 25 
permet par exemple de lire des comptes-rendus de pannes ou de defaillance 
envoyees par le maitre ou I'esclave. Ce poste 25 peut etre utilise par ailleurs 

25 pour d'autres fonctions dans le cadre general de I'application. Le dispositif 
comporte par exemple des moyens d'alerte pour prevenir d'une defaillance, 
afin que le materiel defaillant soit remplace dans les delais imposes. 

L'algorithme qui force la remise a zero du maitre, et finalement sa 
deactivation, est implante dans le maitre, mais il est active par I'esclave. A 

30 cet effet, I'esclave connait I'adresse memoire de cet algorithme. De 
preference et de facon symetrique, l'algorithme est aussi implante dans 
I'esclave, pour des raisons de standardisation de realisation des materiels, 
mais aussi pour que le maitre puisse desactiver completement I'esclave en 
cas de defaillance de ce dernier. L'algorithme de remise a zero, son adresse, 

35 les messages d'interrogation, la frequence des envois de ces messages, le j 
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temps limite entre deux messages avant commutation, ainsi que d'autres 
parametres de configurations sont notamment implantes dans un fichier de 
configuration contenu dans chaque routeur. Plusieurs types de ces 
parametres peuvent etre stockes dans ce fichier de configuration, chaque 
type dependant du type d'application finale. A ('initialisation des routeurs, les 
parametres propres a une application sont par exemple decharges dans une 
memoire vive. La gestion des differentes couches logicielles, dont 
I'algorithme de remise a zero, ainsi que les communications entre ces 
couches sont classiquement traitees par un systeme d'exploitation, 
eventuellement associes a des couches logicielles intermediates, appelees 
« middleware » dans la litterature anglo-saxonne, implantes dans les 
routeurs. 

L'invention a ete decrite pour un dispositif de routage informatique, 
un routeur etant associe a un routeur redondant. L'invention peut bien sur 
s'appliquer a d'autres moyens de gestions d'entrees/sorties, tels que par 
exemple des serveurs de donnees. Elle s'applique avantageusement a tous 
types d'applications necessitant une grande surete de fonctionnement avec 
des exigences d'economies. Par ailleurs, elle est simple a mettre en ceuvre, 
puisque cette mise en oeuvre est essentiellement logicielle. 



REVINDICATIONS 



1. Dispositif de gestion d'entrees et de sorties de donnees 
numeriques, caracterise en ce qu'il comporte des premiers moyens de 
gestion (1) et des deuxiemes moyens de gestion (2) relies I'un a I'autre par 
deux interfaces,, un reseau (23) et une ligne de securite (24), ces moyens 
6changeant mutuellement des messages ^interrogations par ces deux 
interfaces (23, 24), des moyens (1) etant consideres comme defaillants par 
les autres moyens (2) lorsqu'ils n'emettent aucun message dans un intervalle 
de temps donne sur au moins une des deux interfaces (23, 24). 

2. Dispositif selon la revendication 1, caracterise en ce qu'a 
('initialisation de son fonctionnement, les premiers moyens (1) ont le role de 
maitre et les seconds moyens (2) ont le role d'esclave, le maitre gerant les 
donnees d'entrees et de sorties. 

3. Dispositif selon I'une quelconque des revendications 
precedentes, caracterise en ce que les moyens (1, 2) sont relies par le 
reseau (23) a un ou plusieurs systemes (21, 22). 

4. Dispositif selon I'une quelconque des revendications 
precedentes, caracterise en ce qu'ils sont relies par une ou plusieurs liaisons 
serie a des systemes, un cable en y (5) reliant un meme port (3) de chaque 
routeur a un systeme. 

5. Dispositif selon I'une quelconque des revendications 
precedentes, caracterise en ce que les moyens (1, 2) ont les memes 
fonctions et comportent les memes logiciels et memes fichiers de 
configuration. 

6. Dispositif selon I'une quelconque des revendications 
precedentes, caracterise en ce que lorsque des moyens (1) sont detectes 
comme etant defaillants par les autres moyens (2), ces derniers desactivent 
les moyens defaillants. 




7. Dispositif selon les revendications 2 et 6 f caracterise en ce que 
les moyens defectueux (1) etant le maitre, Tesclave desactive les 
entrees/sorties du maitre et active ses propres entrees/sorties. 

5 8. Dispositif selon Tune quelconque des revendications 

precedentes, caracterise en ce qu'il comporte au moins un algorithme de 
remise a zero des moyens (1 , 2), les moyens defaillants (1) etant desactives 
et les autres moyens (2) actives lors de la remise a zero apr£s detection 
d'une defaillance. 

10 

9. Dispositif selon I'une quelconque des revendications 
precedentes, caracterise en ce que les messages d'interrogation, la 
frequence d'envoi de ces messages, le temps limite entre deux messages 
sont implantes dans un fichier de configuration contenu dans chacun des 

15 moyens (1, 2), plusieurs types de ces parametres etant stock§s en fonction 
d'applications donnees. 

10. Dispositif selon la revendication 9, caracterise en ce qu'a 
Initialisation des moyens (1, 2), les parametres propres a une application 

20 sont decharges dans une memoire vive. 

11. Dispositif selon Tune quelconque des revendications 
precedentes, caracterise en ce qu'il comporte des moyens d'alerte pour 
prevenir d'une defaillance. 

25 

12. Dispositif selon Tune quelconque des revendications 
precedentes, caracterise en ce que le reseau est un reseau numerique local. 

13. Dispositif selon Tune quelconque des revendications 
30 precedentes, caracterise en ce que les moyens de gestion de donnees 

d' entrees/sorties sont des routeurs informatiques. 

14. Dispositif selon la revendication 13, caracterise en ce que les 
routeurs fonctionnent en mode ouvert OCP. 
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15. Dispositif selon I'une quelconque des revendications 1 a 12, 
caracterise en ce que les moyens de gestion de donnees d'entrees/sorties 
sont des serveurs de donnees. 
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